Я только что установил новый Discourse и импортировал историю взаимодействий с другого типа форума. Я провожу тесты, чтобы лучше разобраться в Discourse и убедиться, что он надёжно защищён — обсуждения должны быть приватными.
Хорошо, я включил настройку «Требуется вход», и всё работает. Отлично.
Как администратор, я создал новое сообщение с упоминанием @username, ссылающимся на свою личную учётную запись. На мой почтовый ящик пришло письмо с копией сообщения и ссылкой на @username. Эта ссылка открывает мой Discourse по адресу вроде https://discourse.mydomain.com/u/username/summary, где отображается много полезной информации.
Я изменил адрес в браузере, заменив своё имя пользователя на имя другого участника, и смог увидеть сводку для второго пользователя.
В общем, этот URL можно угадать, и мой «приватный» Discourse становится общедоступным. Должно быть, я упустил какую-то другую настройку, которая скрывает мой сайт.
Да, как я уже упоминал в своём первом сообщении, опция «требуется вход» включена. Когда я перехожу на свою страницу Discourse, я вижу только приветственное сообщение и кнопку входа. Мне кажется, что на публичном форуме Discourse отображается гораздо больше информации, например, темы, категории и т. д.
Если вы переходите по ссылке из электронного письма с уведомлением, система автоматически выполнит вход в сообщество при её нажатии. Поэтому изменение URL на профиль другого пользователя в рамках той же сессии перенаправит вас на эту страницу, так как вы уже вошли в систему.
Спасибо. Я подтвердил описанное вами поведение. Мне ещё предстоит привыкнуть к тому, насколько умно Discourse обрабатывает эти ссылки, позволяя попасть в сообщество так же удобно, как при ручной авторизации.
Всё работает отлично. Возвращаюсь сюда, чтобы оставить запись о своём опыте и причине путаницы.
Я использую Firefox и активно полагаюсь на режим контейнеров, где по умолчанию каждый вкладка изолирована от остальных. Поскольку в этом режиме куки-файлы приватны, новая вкладка, открывающаяся автоматически (например, при клике на ссылку из письма в Thunderbird), предоставляет мне чистую среду для просмотра. Я сильно полагался на свой менеджер паролей, чтобы не сойти с ума от постоянных входов в систему.
Что я изначально не заметил при клике на ссылку, отправленную Discourse в моём письме, так это то, что открывшаяся вкладка Firefox была исключением из описанного выше правила: она не была приватной и разделяла куки-файлы с моим последним просмотром в Discourse (вероятно, самой активной вкладкой, которую я использовал в момент получения уведомления по электронной почте). Так что никакого «магического» поведения со стороны Discourse не было — это просто особенность работы контейнеров в Firefox, с которой я ранее не сталкивался.